1   1  /  1  页   跳转

[原创] Win32.Crunk.a 简要分析

Win32.Crunk.a 简要分析

病毒名:Win32.Crunk.a

如果成功,它会删除以下文件:
  • %系统驱动器根目录%\*.*
  • %当前目录%\*.*




最重要的是搜索全盘PE文件,被感染的EXe 和 Scr 将无法被恢复。


EPO (入口模糊化 Entry Point Obscuring) - 受感染文件的 EP (入口 Entry Point) 保持不变。 病毒对程序代码进行修补,将其执行重定向到病毒代码。

病毒包含多态引擎。每次感染时整个病毒代码都会改变。
受感染的文件通常已经损坏或崩溃。


还会判断是否存在以下文件,有则删除:
C:\Boot.ini
C:\Ntldr.com
都是跟系统启动相关的重要系统文件

用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.172 Safari/537.22
分享到:
gototop
 

回复:Win32.Crunk.a 简要分析

这个分析也太简单了吧
gototop
 

回复 2F networkedition 的帖子

你指望还有什么??

分析出的这几个还不够你受的?
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:Win32.Crunk.a 简要分析

嗯,分析的不错,以后遇到了要多加注意了。
gototop
 

回复:Win32.Crunk.a 简要分析

一、

引用:
如果成功,它会删除以下文件:
%系统驱动器根目录%\*.*
%当前目录%\*.*
“%当前目录%”是什么路径?我实在没弄明白。还请楼主解释清楚为好。

二、C:\Ntldr.com?
在XP系统下,跟系统启动相关的重要系统文件是同路径下的无扩展名文件ntldr 。
在Vista系统下,同路径下没有Ntldr.com这个“跟系统启动相关的重要系统文件”。
木有win7\win8操作系统,不知同路径下是否有该文件。
个人感觉是楼主笔误(应为C:\ntldr或C:\Ntdetect.com),或该病毒本身排斥其它病毒在%systemroot%目录下释放的ntldr.com文件,但ntldr.com不是系统启动相关的重要系统文件。

建议楼主完善分析后再发布。
最后编辑超级游戏迷 最后编辑于 2013-05-09 07:20:37
打酱油的……
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT